Python 用户创建表单Django_Python_Django

Python 用户创建表单Django

python django

Python 用户创建表单Django,python,django,Python,Django,我试图创建一个注册表单，但我注意到，当我使用UserCreationForm呈现{{form.as_p}}时，所有可能的字段都会为用户显示。现在，我只希望管理员可以访问一些字段因此，我知道您可以通过fields=（f1，f2…）但是恶意用户是否仍然能够手动提交带有“secret”字段的POST请求，即使这些字段在技术上没有显示在表单中我知道如何解决这个问题的唯一方法是手动验证每个字段，并自己构造模型对象，以确保用户不会接触这些“机密”字段。这似乎违背了使用UserCreationForm的

我试图创建一个注册表单，但我注意到，当我使用UserCreationForm呈现

{{form.as_p}}

时，所有可能的字段都会为用户显示。现在，我只希望管理员可以访问一些字段

因此，我知道您可以通过

fields=（f1，f2…）

但是恶意用户是否仍然能够手动提交带有“secret”字段的POST请求，即使这些字段在技术上没有显示在表单中

我知道如何解决这个问题的唯一方法是手动验证每个字段，并自己构造模型对象，以确保用户不会接触这些“机密”字段。这似乎违背了使用UserCreationForm的目的。有没有更好的办法

作为参考，当我的意思是破坏UserCreationField的用途时，我将无法使用

user=super（UserCreationForm，self）.save（commit=True）

安全地保存？

如果表单不知道该字段存在（即它不在其元类的

字段列表中），然后，它不会在提交的数据中查找它的值。因此，保存表单中的数据是完全安全的
例如，假设我们有以下模型：
from django.db import models

class Person(models.Model):
    name = models.CharField(max_length=100)
    age = models.PositiveIntegerField(blank=True, null=True)
    hobbies = models.CharField(max_length=200, blank=True, null=True)

然后我们可以编写一个LimitedCreateForm
，它只获取姓名和爱好，不设置年龄。出于测试目的，我们可以在视图中使用此表单，该视图将提交的数据和相应的创建人员转储回浏览器以进行调试：
from django.shortcuts import render
from django import forms

from testapp.models import Person

class LimitedCreateForm(forms.ModelForm):
    class Meta:
        model = Person
        fields = ('name', 'hobbies')

def create_limited(request):
    submitted = ""
    new_user = None

    if request.method == 'POST':
        submitted = str(request.POST)
        form = LimitedCreateForm(request.POST)
        if form.is_valid():
            new_user = form.save()

    else:
        form = LimitedCreateForm()

    data = {
        'form': form,
        'submitted': submitted,
        'new_user': new_user,
    }

    return render(request, 'create_limited.html', data)

测试的最后一步是创建一个模板，该模板显示调试数据（表单中的POST数据和创建的相应人员），并创建一个“恶意”表单，其中包含一个年龄字段：
<html>

<body>

<h1>
Submitted data:
</h1>

<p>
{{ submitted|default:"Nothing submitted" }}
</p>

<h1>
Created user
</h1>

<p>
Name: {{ new_user.name|default:"Nothing" }}
<br />
Age: {{ new_user.age|default:"Nothing" }}
<br />
Hobbies: {{ new_user.hobbies|default:"Nothing" }}
</p>

<h1>
Form
</h1>

<form method="post">
    {% csrf_token %}
    Name: <input type="text" name="name" id="id_name">
    <br />
    Age: <input type="text" name="age" id="id_age">
    <br />
    Hobbies: <input type="text" name="hobbies" id="id_hobbies">
    <br />
    <input type="submit" value="Create" />
</form>

</body>

</html>

这表明表单忽略了27岁的提交年龄，只保存了它被告知的字段
值得注意的是，如果指定要排除的字段列表（即，exclude=（'age'，）
而不是fields=（'name'，'cabiods'）
，则情况也是如此
<QueryDict: 
{u'age': [u'27'], 
u'csrfmiddlewaretoken': [u'ed576dd024e98b4c1f99d29c64052c15'], 
u'name': [u'Bruce'], 
u'hobbies': [u'Dancing through fields of flowers']}>`

Name: Bruce 
Age: Nothing 
Hobbies: Dancing through fields of flowers